BSI

Analiza lacunelor de inregistrare NIS2

BSI a estimat aproximativ 30.000 de entitati supuse NIS2 in Germania. Termenul de inregistrare a expirat la 6 martie 2026. O proportie semnificativa a companiilor din domeniul de aplicare inca nu s-au inregistrat, lasandu-le expuse aplicarii legii in temeiul §65 BSIG.

Simon OrzelSimon Orzel·Laufend geprüft

§33 BSIG cere fiecarei entitati care intra sub NIS2, fie ea entitate esentiala sau importanta, sa se inregistreze la Bundesamt für Sicherheit in der Informationstechnik (BSI). Acest lucru nu este optional. Obligatia de inregistrare exista independent de faptul ca firma a implementat sau nu vreo masura de securitate cibernetica. Trebuie sa va inregistrati intai, apoi sa va conformati.

Portalul de inregistrare BSI (muk.bsi.bund.de) a fost lansat la 6 ianuarie 2026, la o luna dupa intrarea in vigoare a BSIG. Termenul de inregistrare in temeiul §33 BSIG a fost 6 martie 2026 (3 luni dupa intrarea in vigoare). In ciuda unei obligatii legale clare si a unei ferestre de doua luni, o proportie semnificativa dintre cele 29.000-30.000 de entitati estimate din domeniul de aplicare nu s-au inregistrat pana la termen. Un sondaj G DATA a constatat ca 44% dintre companiile afectate nu erau deloc constiente de obligatiile lor NIS2.

Lacuna de inregistrare este deosebit de ingrijoratoare deoarece inregistrarea este o conditie prealabila pentru regimul de supraveghere al BSI. Entitatile neinregistrate nu sunt invizibile, ele sunt neconforme in mod implicit. Cand BSI incepe aplicarea sistematica (pe care a semnalat-o pentru 2026), companiile neinregistrate se confrunta cu penalitati nu doar pentru lipsa masurilor de securitate cibernetica, ci si pentru incalcarea obligatiei de inregistrare in sine, o abatere separata in temeiul §65 BSIG.

Inregistrarea in cifre
Starea actuala a inregistrarii NIS2 in Germania pe baza datelor BSI si a sondajelor din industrie.

~29.000-30.000

Entitati estimate in domeniul de aplicare

Estimarea proprie a BSI privind entitatile supuse obligatiilor NIS2 in temeiul NIS2UmsuCG, acoperind atat entitatile esentiale, cat si cele importante.

44%

Neconstiente de obligatiile NIS2

Sondaj G DATA (2024): 44% dintre companiile germane din segmentul mediu nu stiau ca NIS2 li se aplica, inainte ca legea sa intre macar in vigoare.

2 luni

Fereastra de inregistrare

Portalul BSI a fost lansat la 6 ianuarie 2026. Termenul de inregistrare a fost 6 martie 2026, o fereastra de doua luni pentru ca aproximativ 30.000 de entitati sa se inregistreze.

§33 BSIG

Temeiul legal al inregistrarii

Inregistrarea este obligatorie fara intarziere nejustificata (unverzüglich) dupa stabilirea faptului ca entitatea intra in domeniul de aplicare. Nu exista o perioada de gratie, obligatia este imediata la intrarea in vigoare a legii.

De ce exista lacuna

Patru factori structurali explica de ce majoritatea entitatilor NIS2 germane nu s-au inregistrat.

Lipsa de constientizare

Un sondaj G DATA realizat in 2024 a constatat ca 44% dintre companiile germane din segmentul mediu nu erau constiente ca NIS2 li se aplica. Criteriile de includere in domeniu (50+ angajati sau 10 milioane EUR cifra de afaceri in 18 sectoare vizate) nu sunt evidente pentru companiile care nu au avut niciodata de-a face cu reglementari de securitate IT. Multe companii din sectoare precum gestionarea deseurilor, productia alimentara si fabricatia de produse chimice nu se considera 'infrastructura critica'.

Complexitatea includerii in domeniu

Stabilirea daca o companie intra sub NIS2 necesita maparea activitatii in raport cu Anexele I si II ale Directivei NIS2 (transpuse in §28 BSIG). Definitiile sectoriale fac referire la coduri NACE, praguri de cifra de afaceri si numar de angajati, dar cazurile limita abunda. Companiile cu linii de afaceri mixte, acoperire sectoriala partiala sau structuri de grup se confrunta cu o incertitudine reala privind incadrarea lor in domeniu.

Constrangeri de resurse

Companiile germane de tip Mittelstand din intervalul 50-250 de angajati nu au de obicei personal dedicat de conformitate sau securitate a informatiei. Persoana responsabila de 'IT' este adesea responsabila si de cladiri, achizitii si tot ce implica un calculator. Inregistrarea NIS2 necesita intelegerea textului de reglementare, clasificarea sectorului companiei si navigarea unui portal guvernamental, sarcini care ies din operatiunile normale.

Incertitudine legislativa

NIS2UmsuCG a trecut prin mai multe versiuni si a fost amanata de mai multe ori inainte de adoptarea finala. Multe companii au adoptat o abordare de tip 'asteptam si vedem', anticipand modificari suplimentare sau termene prelungite. A fost un pariu rational, dar incorect: legea a trecut, obligatia de inregistrare este in vigoare, iar BSI nu ofera prelungiri.

Consecintele neinregistrarii
Inregistrarea nu este doar hartogarie administrativa, neinregistrarea este o incalcare independenta cu propriile penalitati.

Amenzi administrative

§65 BSIG prevede amenzi de pana la 10 milioane EUR sau 2% din cifra de afaceri anuala mondiala pentru entitatile esentiale si de pana la 7 milioane EUR sau 1,4% pentru wichtige Einrichtungen. Neinregistrarea este o incalcare separata fata de neconformitatea cu masurile de securitate de fond, ceea ce inseamna ca firmele se pot confrunta cu penalitati pentru ambele.

Raspunderea personala a conducerii

In temeiul §38 BSIG, Geschäftsleitung este personal responsabila de asigurarea conformitatii cu obligatiile NIS2, inclusiv inregistrarea. Un administrator care nu inregistreaza compania incalca personal atributiile sale statutare, creand expunere la pretentii de raspundere personala din partea companiei sau a actionarilor sai.

Prioritate la aplicarea legii

BSI a indicat ca va prioritiza aplicarea legii impotriva entitatilor care nu s-au inregistrat, deoarece neinregistrarea semnaleaza neconformitate completa. O companie care s-a inregistrat, dar lucreaza la masuri, demonstreaza buna-credinta. O companie care nici macar nu s-a inregistrat nu are nicio aparare bazata pe eforturi continue de implementare.

Impact reputational si comercial

Cerintele NIS2 privind lantul de aprovizionare (§30(2)(4) BSIG) inseamna ca firmele din domeniul de aplicare trebuie sa evalueze postura de securitate cibernetica a furnizorilor lor. O companie neinregistrata nu poate demonstra conformitatea NIS2 fata de clientii sai, putand pierde contracte sau fiind semnalata in auditurile lantului de aprovizionare. Aceasta presiune comerciala se va accelera pe masura ce tot mai multe companii implementeaza due diligence al lantului de aprovizionare.

Surse
  • BSI - statistici de inregistrare NIS2, declaratii publice (2025)
  • G DATA CyberDefense - sondaj de constientizare NIS2: 44% dintre companiile din segmentul mediu nu sunt constiente de obligatii (2024)
  • G DATA CyberDefense - sondaj de constientizare NIS2 in randul companiilor germane din segmentul mediu (2024)
  • BSIG - §33 (obligatia de inregistrare), §65 (amenzi administrative), §38 (raspunderea conducerii)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (Legea de implementare NIS2)
  • BMI - Referentenentwürfe si documentatie parlamentara pentru NIS2UmsuCG
Inregistrati-va si conformati-va, inainte sa bata BSI la usa
Platforma va ghideaza prin cerintele de inregistrare la BSI si incepe imediat sa va construiasca pista de dovezi de conformitate, astfel incat sa treceti de la neinregistrat la gata de audit intr-un proces structurat.
Incepeti procesul vostru de conformitate NIS2